在急于利用SD-WAN市场机会的情况下,一些SD-WAN供应商似乎在使用他们的设备时游手好闲。
在我们最近的一个客户网站上,我和SD-WAN专家的CISO、安全和合规咨询公司Red Lantern的首席执行官Nirvik Nandy合作对SD-WAN架构进行了安全分析。我们对几种SD-WAN解决方案进行了渗透测试,观察
设备和云架构。我们如何测试的细节和供应商的结果是必须保密的。不过,我可以与您分享一些我们关于设备的总体发现——我们将在稍后讨论云计算。
SD-WAN安全:它的真正含义
首先,一些上下文:SD-WAN供应商说他们的体系结构是安全的,这在一定程度上是正确的。所有SD-WAN解决方案都确保了运输中的交通安全。但是网络安全不仅仅是保护数据不被窃听和窃听,这就是为什么公司要部署下一代防火墙(NGFW)、入侵防御系统(IPS)等等。dd - wan和安全供应商已经解决了这一需求,将彼此的功能集成到提供网络和安全的解决方案中。
但是这些体系结构都与SD-WAN设备的安全性无关。检查该设备的安全性是至关重要的。供应商要求您信任他们,他们可以提供防火墙、代理服务器,以及与您现有设备具有同等功能和安全性的更多服务。核实这些事实是你的责任。
由于我们今天提供Internet访问的方式,SD-WAN设备的安全性尤其重要。在SD-WAN之前,有比攻击者物理访问我们的互联网连接设备更大的担忧。Internet点集中在数据中心或服务器室中。通过门禁卡,24小时工作人员,并经常有视频监控来限制进入房间。
dd - wan和Internet增加了实体访问设备的风险
但是,当我们从单一或有限的集中管理的、安全的Internet网关集合转移到非常分布式的Internet网关集合时,攻击空间就会增加。被SD-WAN设备取代的路由器是经过实战考验的成熟产品。它们通常部署在一个中心辐射型配置中。折衷一个分支办公室路由器,最多只能提供对分支办公室和数据中心之间的流量的访问。即使这样,攻击者也需要找到一种方法,通过一个受到严密监视的集中式防火墙来窃取数据。
SD-WAN设备是不同的,特别是当分支机构直接连接到Internet时。SD-WAN设备是完全网状的,这可能意味着包含一个设备可以让攻击者看到来自整个公司的流量。由于可以直接上网,攻击者更有可能窃取数据而不被发现。
我们的测试和发现
为了发现设备中的漏洞,我们从裸露的金属上检查了设备的安全性。SD-WAN设备通常运行在白盒服务器上,即现成的服务器硬件上,带有来自各种来源的微服务。这些微服务中的每一个都代表一个潜在的攻击点。因此,您需要检查从芯片组、BIOS和固件开始的所有内容。
供应商可能会拒绝这种分析,向您保证他们的设备是安全的。但我们的研究结果表明情况并非如此。
在SD-WAN设备中运行的微服务通常来自第三方。它们可能来自具有经过良好测试的产品的知名安全供应商,但也可能是由供应商编写在一起的开源组件。我们的发现表明后一种情况很常见,80%的人都知道常见的弱点和暴露(CVEs),有些已经超过10年了。
有两个具体的例子可以说明这一点。在一个实例中,我们发现如果攻击者可以通过SSH进入一个机器(在某些情况下这当然是可能的),他们可以创建一个竞争条件来重新引导系统。通常,系统的IPS应该在网络之前启动,以保护设备。但在某些情况下,情况正好相反:网络是第一位的。这给了攻击者一个简短的窗口来插入一个bug到系统中,使他们能够完全控制系统。
在另一种情况下,过时的BIOS允许我们重新启动设备并从USB密钥启动恶意代码,从而造成中间人攻击。利用该漏洞,攻击者可以看到通过该设备的所有通信。
“这些都是新公司开发的新兴技术,他们还没有像经验丰富的安全人员那样,对安全的整个运营模式给予足够的重视。栈的任何层或任何级别的故障都将使组织暴露于网络事件(如果检测到)或数据丢失(如果未检测到)。”
你的方法
当然,必须优先考虑安全威胁。可以同时远程攻击多个目标的攻击优先于物理访问,这可以通过挂锁来阻止。
但这并不是不调查分支设备安全性的借口。它们经常被放置在没有集中式防火墙那么无菌的环境中——由多个供应商访问的布线壁橱,或者,让我们诚实地说,一个管理员的桌子。
我们的分支设备经常暴露在“无害的”威胁之下,例如被第三方销售工程师无意中禁用。更糟糕的是,它们可能会暴露在真正敏感的数据面前。威胁行动者的社会和物理工程攻击——与远程攻击结合使用——可能导致对安全环境的访问。有一件事是明确的:如果您打算依靠SD-WAN来保护您的企业,请确保SD-WAN设备是安全的。